OPSWAT البنية التحتية الحيوية، إلا أن ذلك لا يقتصر على ما تعرّفه الحكومات بـ«البنية التحتية الحيوية»، بل يشمل ما تعتبره أنت حيوياً.
وتقع البيانات الحيوية في صميم تلك البنية التحتية – وهي البيانات التي تضمن سير العمليات بأمان واستقرار واستمرارية.
في أنظمةIndustrial (ICS) وبيئات التكنولوجيا التشغيلية (OT)، تعكس هذه البيانات الوظائف/العمليات الأساسية للأعمال. ولكن عند وقوع حادث إلكتروني، يصبح الاحتواء إحدى الأولويات القصوى.
معضلة الاحتواء
تتمثل الخطوة الأولى في عملية الاحتواء في عزل الأنظمة المتضررة وقطع مسارات الاتصال التي قد تساهم في انتشار الهجوم. فعلى سبيل المثال، تدعو إرشادات وكالة الأمن السيبراني وأمن البنية التحتية (CISA) بشأن الاستجابة لبرامج الفدية صراحةً إلى عزل الأنظمة المتضررة على الفور وفصل الأجهزة كلما أمكن ذلك(1). وهذه نصيحة سديدة – لكنها قد تخلق معضلة تشغيلية في البيئات الصناعية:
| الأمن يتطلب الفصل | العمليات تحتاج إلى الشفافية |
|---|---|
| أوقف الحركة الجانبية | هل لا تزال الأنظمة تعمل بأمان؟ |
| أوقفوا أسلوب القيادة والتحكم | هل الأنظمة مستقرة أم أن مؤشراتها تتجاوز الحدود المسموح بها؟ |
| منع الانتشار | هل نوقف العمل أم يمكننا الاستمرار في العمل دون وقوع أي حوادث؟ |
الديودات الضوئية تزيل أي مجال للشك
يتيح الصمام الثنائي للبيانات الضوئية للمؤسسات إغلاق المسارات ثنائية الاتجاه، مثل جدران الحماية والشبكات الافتراضية الخاصة (VPN) والوصول عن بُعد وعلاقات الثقة، مع السماح في الوقت نفسه بتدفق بيانات القياس عن بُعد الحيوية إلى الخارج. وتوفر هذه الطريقة آلية لرصد العمليات وتعزيز السلامة وتحسين عملية اتخاذ القرار استنادًا إلى البيانات في الوقت الفعلي.
Core
على الرغم من "إغلاق الباب" بين شبكات تكنولوجيا المعلومات (IT) وتكنولوجيا التشغيل (OT) أثناء عملية العزل، لا يزال بإمكانك ترك "فتحة بريد" لتمكين بيانات العمليات المخصصة للقراءة فقط من الخروج من بيئة تكنولوجيا التشغيل (OT) – كل ذلك دون توفير مسار شبكي للعودة إلى الداخل.
يتوافق "الاحتواء" باعتباره جزءًا من الاستجابة للحوادث (IR) مع الإرشادات الأمنية طويلة الأمد التي أصدرها المعهد الوطني للمعايير والتقنية (NIST) بشأن تقنيات التشغيل (OT). ويشير المعهد إلى أن البديل لجدار الحماية هو بوابة أحادية الاتجاه أو "ديود البيانات" الذي لا يسمح إلا بالاتصالات المصرح بها والمُعدة مسبقًا في اتجاه واحد(2).
ماذا يحدث عندما تنقطع الكهرباء
كيف يمكن إدارة عمليات التصنيع دون أتمتة وبنية تحتية؟ ومن الأمثلة التي يُستشهد بها كثيرًا على "الاحتواء عن طريق الانفصال" حادثة فيروس الفدية التي تعرضت لها شركة "نورسك هيدرو" عام 2019، حيث أوقفت الشركة الوصول إلى الشبكة لمنع انتشار الفيروس، ولجأت إلى العمليات اليدوية لفترة من الوقت. أثرت برمجية الفدية LockerGoga بشكل أكبر على بعض مصانع معالجة الألومنيوم التابعة للشركة، وبلغت الخسائر المالية ما يزيد عن 71 مليون دولار. وتطوع موظفو المصانع المتقاعدون الذين كانوا على دراية بالنظام الورقي القديم بالعودة إلى مصانعهم لمواصلة الإنتاج(3).
من المهم فهم هذه الحالة لأنها توضح التكاليف التشغيلية والمالية المترتبة على فقدان الاتصال الرقمي والرؤية المركزية للعمليات المؤتمتة أثناء استجابة الحوادث. لقد كان القرار صائبًا.
رؤية درجة القرار مع الاحتواء
في العديد من المؤسسات الصناعية، تعتمد شفافية العمليات على تدفق البيانات من مصادر تكنولوجيا التشغيل (OT) مثل:
- خوادم OPC UA (القيم في الوقت الفعلي، الإنذارات، البيانات المرتبطة بالسياق)
- يحب المؤرخون برنامج AVEVA PI (السلاسل الزمنية + الأحداث + سياق إطار عمل الأصول)
أثناء عملية الاحتواء، من الشائع تعطيل جدران الحماية والقواعد أو حظر الوصول عن بُعد لمنع بيانات القياس عن بُعد الخاصة بالتكنولوجيا التشغيلية (OT) من الاتصال أدوات المؤسسة. وتغير بنية الصمام الثنائي نمط الفشل هذا:
- يمكنك إيقاف تشغيل جدار الحماية/مسارات الخادم للوقاية من المخاطر الواردة.
- لا يزال بإمكانك الحصول على بيانات القياس عن بُعد أحادية الاتجاه للحفاظ على الوعي بالوضع وتقييم الحوادث بشكل أسرع في الوقت الفعلي.
- إذا كنت تستخدم أدوات أخرى أدوات حركة مرور الشبكة من أجل الكشف عن التهديدات، فيمكنك الحفاظ على تدفق تلك البيانات عبر جهاز "ديود"
مثال على سيناريو
حادث
تفجر فيروسات الفدية على شبكة الشركة. يقوم فريق الاستجابة للحوادث بعزل وتعطيل حركة البيانات بين شبكات تكنولوجيا المعلومات (IT) وتكنولوجيا التشغيل (OT) لمنع انتشار العدوى إلى البنية التحتية لتكنولوجيا التشغيل.
المشكلة
تفقد الفرق المركزية إمكانية الوصول إلى لوحات معلومات الوقت الإضافي وعروض السجلات التاريخية التي توفر رؤية بيئية للإجابة عن السؤالين: «هل الوضع آمن؟» و«هل الوضع مستقر؟».
باستخدام الصمام الثنائي، تواصل شبكة التشغيل (OT) بث بيانات القياس عن بُعد للقراءة فقط إلى شبكة مستقبلة، حيث يمكن لقيادة مركز العمليات (SOC) وإدارة العمليات الاطلاع على الاتجاهات الرئيسية والإنذارات ونقاط بيانات السلامة – دون إرسال أي اتصالات تحكم عائدة إلى بيئة التشغيل (OT).
ورغم أن جهاز «ديود» لا «يحل مشكلة برامج الفدية» (انظر إلى التقنيات الوقائية المتوفرة في MetaDefender Core)، إلا أنه يقلل من نطاق التأثير عن طريق منع الوصول إلى الشبكة من المناطق عالية المخاطر، مع الحفاظ في الوقت نفسه على الحد الأدنى من الرؤية التشغيلية.
البيانات العملية المطلوب إرسالها
للحفاظ على الفعالية التشغيلية، قم بتحديد "مجموعة بيانات رؤية الأزمات" في مرحلة التخطيط لخطة الاستجابة للأزمات. ويشمل ذلك بيانات مثل:
- القيم الحرجة للسلامة في العمليات (الضغط، ودرجة الحرارة، والمستويات، وأجهزة التثبيت)
- مؤشرات الوضع/الحالة (تلقائي/يدوي، السماح، حالات الانقطاع)
- ملخصات الإنذارات (عدد الإنذارات + أهمها)
- قياس حالة الشبكة عن بُعد (المحولات/أجهزة التوجيه الحيوية، حالة تشغيل/إيقاف الأجهزة/المنافذ، بيانات حالة نظام التسجيل التاريخي)
- السياق الأدنى (أسماء الأصول/الوحدات حتى تتمكن الفرق من فهمها بسرعة)
مراجع
1. CISA. https://www.cisa.gov/ransomware-response-checklist؛ CISA. [على الإنترنت]
2. NIST. SP800-82r3. NIST. [على الإنترنت] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. بريغز، بيل. قراصنة يهاجمون شركة «نورسك هيدرو» ببرنامج فدية. وردت الشركة بشفافية. Microsoft.com. [على الإنترنت] 16 ديسمبر 2019. https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/.
